Popularne polskie serwisy wykradają adresy e-mail by śledzić użytkowników

OXYGEN THIEF

Bardzo aktywny
Członek Załogi
Administrator
Dołączył
26 Maj 2010
Posty
35549
Reakcje/Polubienia
24585
Miasto
Trololololo
Serwisy takie jak Wykop.pl, Money.pl, Dziennik.pl, PAP.pl czy Pajacyk.pl używają skryptów śledzących, które wykradają Wasze adresy email z menedżerów haseł w przeglądarkach by skuteczniej śledzić Wasze ruchy w sieci.


Badacze z Uniwersytetu Princeton
Zaloguj lub Zarejestruj się aby zobaczyć!
, które sięgają bardzo daleko w nasza prywatność, między innymi wykradając adresy email zapamiętane w popularnych przeglądarkach. Jedno z tych narzędzi jest dość popularne w Polsce i korzysta z niego wiele znanych witryn.


Co robią skrypty śledzące

Gdy zakładacie konto lub logujecie się w internetowym serwisie, to przeglądarka często może Was zapytać, czy zapisać Wasz login i hasło. Kiedyś odradzalibyśmy Wam takie rozwiązanie, ale dzisiaj poziom bezpieczeństwa haseł przechowywanych w przeglądarkach jest dużo wyższy niż kilka lat temu i nie sprzeciwiamy się już tak zdecydowanie temu rozwiązaniu, bo pozwala wielu użytkownikom, którzy nie potrafią lub nie chcą korzystać z osobnego menedżera haseł, stosować unikatowe hasła na różnych stronach w sieci. Na stronie logowania często nie ma skryptów śledzących – taki poziom przyzwoitości reprezentuje wiele serwisów. Niestety okazuje się, że niektóre skrypty śledzące, obecne na kolejnych stronach serwisów, wstrzykują do nich niewidoczne formularze logowania by wykradać Wasze loginy / adresy email, wypełniane automatycznie przez przeglądarki. To karygodne zachowanie stanowi daleko idącą ingerencję w Waszą prywatność. Na poniższym obrazku możecie zobaczyć schemat tego procesu.


autofill02-580x358.png


Spośród setek, jak nie tysięcy skryptów śledzących, badacze znaleźli tylko dwa nadużywające w ten sposób menedżerów haseł. Jednym z nich okazał się skrypt OnAudience, korzystający z domeny behavioralengine.com, drugim Adthink z domeny audienceinsights.net. Spośród miliona najpopularniejszych stron w sieci, oba skrypty znaleziono na 1110 stronach. Co ciekawe, ten pierwszy obecny jest na 63 stronach, z których aż 45 znajduje się w domenie .PL. Ich adresy znajdziecie pod koniec artykułu. Związek skryptu z naszym krajem jest dość oczywisty – firma za niego odpowiadająca to Cloud Technologies S.A z siedzibą w Warszawie.


Polski skrypt wykrada login (najczęściej adres email), liczy jego skrót MD5 i wysyła do swojego serwera. Zbiera także takie dane przeglądarki jak listę wtyczek, obsługiwane typy plików, rozmiar ekrany, język, strefę czasową, wersję przeglądarki oraz informacje o systemie operacyjnym i procesorze. Pomaga to stworzyć unikatowy wzorzec umożliwiający śledzenie wykorzystania tej przeglądarki w sieci. Najważniejszy dla narzędzia śledzącego jest jednak adres email – identyfikuje on konkretnego użytkownika, bez względu na to, czy zmienia przeglądarkę, komputer, czy surfuje z domu czy z wakacji, czy z telefonu czy z laptopa. Co prawda firma twierdzi, że „nie zbiera danych osobowych”, ale śmiemy twierdzić, że skrót MD5 adresu email w przypadku wielu użytkowników można bardzo łatwo (w czasie kilku godzin) odwrócić atakiem słownikowym. Co prawda nie przeprowadzaliśmy takich testów, ale obstawiamy, że dla bazy polskich adresów email prosty atak słownikowy w oparciu o najpopularniejsze loginy, imiona i nazwiska oraz najpopularniejsze domeny pocztowe pozwoli zgadnąć przynajmniej 80 jak nie 90% adresów.


Co ważne, skrypty analizowane przez naukowców nie kradły Waszych haseł – chociaż mogły.
Zaloguj lub Zarejestruj się aby zobaczyć!
, jak to działa w przypadku Waszej przeglądarki.
Zaloguj lub Zarejestruj się aby zobaczyć!
, a poniżej wyciąg tych z domeny .PL w kolejności od najpopularniejszych.


wykop.pl money.pl tekstowo.pl dziennik.pl gazetaprawna.pl forsal.pl fotosik.pl auto.com.pl audiostereo.pl drhtv.com.pl szkolnictwo.pl pap.pl facetemjestem.pl nf.pl ising.pl pajacyk.pl domy.pl windows7forum.pl slowka.pl auto.pl gpwinfostrefa.pl analizy.pl profesor.pl 12zawodnik.pl inwestycje.pl e-podatnik.pl astromagia.pl wkuwanko.pl kreskowka.pl szafunia.pl pap.com.pl prawnik.pl damsko.pl sztuka-architektury.pl archinea.pl superpracodawca.pl wrozka.com.pl e-logistyka.pl weranda.pl rolpetrol.com.pl artinfo.pl anglisci.pl w210.pl tuningforum.pl codogara.pl

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

wykop.pl
money.pl
tekstowo.pl
dziennik.pl
gazetaprawna.pl
forsal.pl
fotosik.pl
auto.com.pl
audiostereo.pl
drhtv.com.pl
szkolnictwo.pl
pap.pl
facetemjestem.pl
nf.pl
ising.pl
pajacyk.pl
domy.pl
windows7forum.pl
slowka.pl
auto.pl
gpwinfostrefa.pl
analizy.pl
profesor.pl
12zawodnik.pl
inwestycje.pl
e-podatnik.pl
astromagia.pl
wkuwanko.pl
kreskowka.pl
szafunia.pl
pap.com.pl
prawnik.pl
damsko.pl
sztuka-architektury.pl
archinea.pl
superpracodawca.pl
wrozka.com.pl
e-logistyka.pl
weranda.pl
rolpetrol.com.pl
artinfo.pl
anglisci.pl
w210.pl
tuningforum.pl
codogara.pl

Rekomendacje

Na szczęście aby uniknąć ryzyka sprofilowania przez wykradzenie adresu email wystarczy korzystać z jednej z wtyczek blokujących reklamy i skrypty śledzące – mamy nadzieję, że wszyscy to robicie. Mamy też nadzieję, że ciągle rozwijane standardy stron WWW pozwolą wdrożyć technologie utrudniające śledzenie użytkowników. Niestety na razie wygląda na to, że firmy zarabiające na profilowaniu internautów nie cofną się przed niczym, by jeszcze lepiej nad namierzać.


Dziękujemy Czytelnikom, którzy wskazali nam temat do opisania.
info:zaufanatrzeciastrona.pl
 
Ostatnia edycja:
Do góry